Falta de autenticación para una función crítica para Honeywell
Las siguientes versiones de Honeywell IQ4x BMS Controller:
- IQ4E: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
- IQ412: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
- IQ422: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
- IQ4NC: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
- IQ41x: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
- IQ3: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
- IQECO: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
Gjoko Krstic, de Zero Science, ha informado de una vulnerabilidad de severidad crítica que, en caso de ejecutarse, podría permitir a un atacante, no autorizado, acceder a la configuración de gestión del controlador, controlar componentes, revelar información o provocar una condición de denegación de servicio.
Aún no hay disponible un parche que solucione el problema.
CVE-2026-3611: el producto expone su interfaz hombre-máquina (HMI) sin autenticación en su configuración de fábrica. Debido a que esto es accesible antes de la autenticación, un usuario remoto puede crear una nueva cuenta con permisos de administración de lectura y escritura, habilitando el módulo de usuario e imponiendo la autenticación con credenciales controladas por el atacante. Esta acción puede bloquear a los operadores legítimos fuera de las configuraciones y administraciones locales y basadas en web.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-3611 | Crítica | No | Honeywell |
